使用网络监视器iris捕捉和分析协议数据包.docx

1、使用网络监视器iris捕捉和分析协议数据包一 实验内容主机A：192.168.42.25（监听端）主机B：192.168.42.26（被监听端）（1） 安装IRIS软件点击iris.exe出现安装界面，接着连续执行“下一步”直到出现“安装”按钮为止，点击“安装”按钮；执行iriskeygen软件，激活序列号；安装HB-Iris4071汉化补丁，运行完后，出现图1的界面，点击“确定”软件安装成功。图1（2） 捕捉数据包，验证数据帧、IP数据报、TCP数据段的报文格式。1)用热键CTRL+B弹出如图2所示的地址表，在这里我们分别添加主机A和主机B的IP地址，为了对抓的包看得更清楚不要添主机的名字（

2、name）,设置好后关闭此窗口。图2图32）用热键CTRL+E弹出如图4所示过滤设置，选择左栏“IP 地址”，右栏按下图将地址簿中的地址拽到下面，设置好后确定，这样就这抓这两台计算机之间的包。（注：iris软件是安装在主机192.168.42.25上的）图43）捕捉数据包点击“开始/停止捕获”按钮，开启抓包功能（先用arp d清除主机A上的arp缓存表）用热键CTRL+E弹出如图5所示过滤设置，选择左栏“Layer 2,3”，右栏按下图设置，设置完后点击“确定”按钮。图5选择菜单filterftp.flt从主机A上登录到主机B的ftp（主机B安装了FTP服务器）停止抓包图6是ftp的整个过程。

3、图6我们选择序号3的数据包作为验证，分别查看它在MAC层，IP层和TCP层的数据头部信息。4）验证数据帧格式：图7从图7中可以看出一个物理地址的头部信息包含目的MAC地址，源MAC地址和类型字段，其目的MAC地址是00 0C 29 C4 47 D8 ,源MAC地址是00 0C 29 42 7B 7A，类型字段0800表示它上层使用的是IP数据报。5）验证IP数据报格式：图8图9由图8，图9我们可以知道：1、 版本4表示IPV4，占4位；2、 首部长度为5是由于这个单位是32位，所以这个IP数据报首部长度为20个字节；3、 区分服务00占一个字节；4、 总长度00 43占两个字节；5、 标识02

4、 46占两个字节；6、 标志+片编移40 00占两个字节；7、 生存时间128跳；8、 向上提供的协议是TCP；9、 首部检验和是22EB；10、源地址是192.168.42.26；11、目的地址是192.168.42.256）验证TCP数据段的报文格式：图10图11源端口为0015，转化为十进制刚好是21，是ftp默认的端口；目的端口是0470，占两个字节；序号41E74AF8占四个字节；确认号F3CEAB87占四个字节；首部长度为5；片偏移为18，其中ACK、PSH各占一位；首部检验和是911B，占两个字节。（3） 捕捉并分析ARP报文。1）步骤：在主机A运行“arp -d”的命令，然后在

5、设置过滤器中设置捕获ARP协议，并且设置捕获主机A与主机B之间的IP地址数据包，接着点击“开始/停止捕捉”，开始抓包，图12就是捕捉到的ARP报文。图122）分析：首先我们在主机A上运行了“arp -d”的命令后，主机A上的arp缓存表被清空，当我们用“ping 192.168.42.25”命令时，由于主机A与主机B在同一个网段，且主机A没有B的MAC地址，所以它会以广播形式发送ARP请求报文，在ARP请求报文中包含了源IP地址和目的IP地址，在同一网段的主机B收到报文并发现目标IP地址与自己的地址一样，则它向主机A发回ARP响应报文，并把自己物理地址封装在响应报文上，从而使主机A获得主机B的

6、MAC地址。（4） 捕捉并分析ping过程中的ICMP报文。1) 在主机B上用“arp -d”命令清除arp缓存表2) 点击“开始/停止捕捉”，开始抓包3）用热键CTRL+E弹出如图所示过滤设置，选择左栏“Layer 2,3”，右栏按下图设置，设置完后点击“确定”按钮。图134）在主机A上去ping主机B的IP地址5）停止抓包下图就是捕捉ping过程中的ICMP报文图14分析：从上图中可以看出，我们用命令“ping 192.168.42.26“，回车后ping命令便会向目的主机B发一个ICMP请求ECHO报文，因为主机B正常工作而且响应这个ICMP回送请求报文，所以它就发回ICMP回送回答报文

7、（从序号1、2中可以看出）。由于主机A一连发出四个ICMP回送请求报文，作为正常工作且可达的主机B也相应做出四个回答，发回四个ICMP回送回答报文，所以在抓包界面中有8个ECHO报文。在抓包界面的第一行（序号1）中的数据包包含三个信息，分别是以太网、IP和ICMP。图15是以太网头信息，它的内容是00 0C 29 42 7B 7A 00 0C 29 C4 47 D8 08 00.前6个字节00 0C 29 42 7B 7A是目的主机B的MAC地址，后6个字节00 0C 29 C4 47 D8是源主机A的MAC地址，最后两个字节08 00代表包的类型是DOD IP.图15图16是IP头信息，它的

8、内容是45 00 00 3C 05 4E 00 00 80 01 5F EF C0 A8 2A 19 C0 A8 2A 1A，它表示IP版本是IPV4，首部长度是5，总长度60字节，标识1358，生存时间128跳，向上提供的协议是ICMP，首部检验和是5FEF，源地址是192.168.42.25，目的地址是192.168.42.26.图17图18是ICMP头信息，它的内容可用表1解释。图18类型代码检验和标识序号数据0800415C02000A006162636465666768696A6B6C6D6E6F7071727374757677616263646566676869表1（5） 捕捉并分

9、析tracert过程中的ICMP报文。1)用热键CTRL+B弹出如下图所示的地址表，在这里我们分别添加主机A和主机B的MAC地址，为了对抓的包看得更清楚不要添主机的名字（name）,设置好后关闭此窗口。2）用热键CTRL+E弹出如图19所示过滤设置，设置只捕捉主机A与主机B的物理地址图19设置完后，选择左栏的“Layer 2,3”,右栏选择ICMP协议，如20图所示，然后点击“确定”按钮。图203）开始捕捉数据包。4）图21就是捕获的数据包。图21分析：由上图可知，tracert命令依靠ICMP协议来实现的，数据报从路由器发出之后，每经过一个路由器，便会在该数据报的选项字段中加入该路由器的地址

10、信息，当这条信息到达目的主机的时候，便会生成一条新的ICMP数据报，这个数据报记录了刚才所经过的路由信息，返回给源主机，这样源主机就知道了刚才所经过的路由信息。而上图表面，由于主机A与主机B在同一个网段，所以不用经过路由器，因此当我们用tracert命令去追踪时，只显示主机B的IP地址。（6） 捕捉并分析TCP三次握手建立连接的过程。1、测试例子：将主机B中的一个文件通过FTP下载到主机A中。 2、IRIS的设置：在主机A运行“arp -d”的命令，然后在设置过滤器中设置捕获TCP协议，并且只设置捕获主机A与主机B之间的IP地址数据包，选择菜单filterftp.flt。3、抓包 按下IRIS

11、工具栏中开始按钮。在浏览器中输入ftp:/192.168.42.26,登录并找到要下载的文件 ，鼠标右键该文件，在弹出的菜单中选择“复制到文件夹”开始下载，下载完后按“停止”按钮抓包。下图显示的就是FTP的整个过程。4、分析 序号6-8为TCP建立连接时候的三次握手，它们记录了三次握手中的ACK与SEQ的数据。第一次握手ACK：00 00 00 00SEQ：50 38 97 B4第二次握手ACK：50 38 97 B5SEQ：79 DC 20 EE第三次握手ACK：79 DC 20 EFSEQ：50 38 97 B5首先，A向B发送一个连接请求报文，这时候A初始化一个初始序号SEQ为50 38

12、 97 B4，确认信号为0，当B收到A的请求报文后，因为B同意连接，就向A发送一个确认报文，此时，B也初始化一个初始序号SEQ为79 DC 20 EE，并且确认ACK号为A发送过来数据包的SEQ+1即50 38 97 B5，当A收到B数据包的时候再次向B发送确认信号，此时A又会产生一个初始序号SEQ 50 38 97 B5,确认号ACK为B发送过来的数据包的SEQ+1即79 DC 20 EF。这时，TCP协议就建立起连接。二实验目的，实验环境，实验步骤及结果，实验分析，实验心得和体会。答：1. 实验目的：通过使用网络监视器IRIS捕捉和分析协议数据包，让我们更好的了解数据包在网络上如何运行，以及TCP/IP协议的报文格式。2. 实验环境：windows xp,虚拟机3. 实验步骤、结果和分析见上面的实验内容。4. 实验心得和体会：通过使用IRIS来捕捉和分析数据包，我了解到数据包里面的报文格式和各个协议是在那个环境下使用的，以及如何工作的。